Toggle sidebar

Wie sicher ist L2TP/IPSec ?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
G

Geograph

Benutzer
Registriert
15. Okt. 2014
Beiträge
96
Reaktionspunkte
6
Punkte
8
Hallo Forum,

da ich in Zukunft gerne VPN nutzen möchte, beschäftige ich mich gerade mit den verschiedenen Möglichkeiten bzw. Protokollen.

PPTP kommt nicht in Frage, da es unsicher ist.

OpenVPN soll zwar sicher und performant sein, aber mir missfällt, dass man einen extra Client installieren muss und dieser auch noch mit Adminrechten laufen muss. (Für mich persönlich noch machbar, aber für Kunden/Anwender kompliziert.)

Nun bleibt also noch L2TP/IPSec. Eine kurze Recherche bringt allerdings zu Tage, dass MS-CHAPv2 "verwundbar" ist. Wie ernst ist das? Kann man L2TP/IPSec über die DS bedenkenlos verwenden?

Ein weiterer, alternativer Weg, der hier zum Teil auch schon vorgeschlagen wurde, VPN über den Router bzw. die Fritzbox zu nutzen, ist auch nicht gerade einfach. Hier muss man gleich zwei Programme installieren und außerdem den Dienst MyFRITZ! nutzen, damit werde ich auch nicht glücklich!

Also bleibt eigentlich nur L2TP/IPSec, das dann auch den Vorteil bietet, ohne zusätzlichen Client von Windows Rechnern auf das VPN zugreifen zu können.

Grüße
 
Wogegen willst Du Dich schützen? Zum sicheren Browsen in öffentlichen WLANs reicht es vollkommen. Wenn Du hingegen ein potentielles Ziel für professionelle Industriespionage bist, dann vielleicht nicht so sehr.
 
hi,

also ich hab damals einfach ne dyndns genommen und nicht den myfritz dienst genutzt.
 
Merthos schrieb:
Wogegen willst Du Dich schützen? Zum sicheren Browsen in öffentlichen WLANs reicht es vollkommen. Wenn Du hingegen ein potentielles Ziel für professionelle Industriespionage bist, dann vielleicht nicht so sehr.
Zum Vergrößern anklicken....


Nicht ganz, aber schon eher zweiteres.


maDDin_1338 schrieb:
hi,

also ich hab damals einfach ne dyndns genommen und nicht den myfritz dienst genutzt.
Zum Vergrößern anklicken....

Was hat das miteinander zu tun? Ich habe eine feste IP, brauche also kein dyndns oder sonstwas. Über die Fritzbox sehe ich aber trotz fester IP keinen Weg um den MyFritz! Dienst.
 
Wozu möchtest du den MyFritz Dienst nutzen?
Ich habe auch nur den VPN der FritzBox in Benutzung.
Allerdings geht es in Win8(10) nicht ohne einen Client da Windows "IKEv1 XAUTH" nicht unterstützt.
Mit Linux habe ich da kein Problem.
 
Geograph schrieb:
Also bleibt eigentlich nur L2TP/IPSec, das dann auch den Vorteil bietet, ohne zusätzlichen Client von Windows Rechnern auf das VPN zugreifen zu können.
Zum Vergrößern anklicken....
Irgendwie werde ich das Gefühl nicht los, dass das Risiko, dass irgendwelche Windows Rechner kompromittiert werden, höher ist, als dass jemand eine VPN Verbindung knackt.

Entweder man hat Windows Rechner, die zentral verwaltet und administriert werden, dann ist ein zusätzlicher Client nicht das Problem, oder nicht. Und bei oder nicht hat man wahrscheinlich mehr Sicherheitslücken, als das unsicherste VPN Protokoll (PPTP).
 
Iarn schrieb:
Irgendwie werde ich das Gefühl nicht los, dass das Risiko, dass irgendwelche Windows Rechner kompromittiert werden, höher ist, als dass jemand eine VPN Verbindung knackt.
Zum Vergrößern anklicken....

Da hast du vollkommen Recht! Der Unterschied ist aber, dass ich gegen die kompromittierten Windows Rechner nichts tun kann bzw. dafür keine Verantwortung habe. Wenn ich das VPN einrichte, dann sollte das zumindest mit meinem eigenen Gewissen vereinbare Sicherheitsstandards erfüllen.

Iarn schrieb:
Entweder man hat Windows Rechner, die zentral verwaltet und administriert werden, dann ist ein zusätzlicher Client nicht das Problem, oder nicht. Und bei oder nicht hat man wahrscheinlich mehr Sicherheitslücken, als das unsicherste VPN Protokoll (PPTP).
Zum Vergrößern anklicken....

Das wäre natürlich das Optimum, dass (alle) Windows Rechner zentral verwaltet und administriert werden, aber die Realität sieht leider anders aus.
Ich habe hier testweise die Fritzbox VPN Software und OpenVPN parallel installiert, ganz einfach, weil ich nacheinander alle Varianten durchspiele.
Was passiert nach dem Herstellen der OpenVPN Verbindung? Bluescreen! Die Ursache sind hier wohl AVM und OpenVPN Software auf einem PC. Sowas ist leider äußerst ärgerlich, aber bestätigt mich darin, möglichst auf zusätzliche Clients zu verzichten.
 
Noch als Ergänzung, soweit ich weiß übernimmt bei "L2TP/IPSec" IPSec die Authentifizierung!?
bei der Synology dann mit IKE und Pre-Shared Key.
(Kenne mich da aber auch nicht so gut aus, also wenn ich Müll schreiben sollte ;-) bitte korrigieren!)
 
Korrekt - bei IKE werden über Diffie-Hellman Schlüssel bzw. Zertifikat ausgetauscht und dann Verschlüsselungs- und Authentifikationsverfahren festgelegt und ein Masterschlüssel vereinbart, der dann als Grundlage dient für die Erzeugung des eigentlichen Sitzungsschlüssels für den Datentransfer.
 
Geograph schrieb:
Ein weiterer, alternativer Weg, der hier zum Teil auch schon vorgeschlagen wurde, VPN über den Router bzw. die Fritzbox zu nutzen, ist auch nicht gerade einfach. Hier muss man gleich zwei Programme installieren und außerdem den Dienst MyFRITZ! nutzen, damit werde ich auch nicht glücklich!
Zum Vergrößern anklicken....


Myfritz musst du nicht nutzen. Und du musst auch nicht zwei Programme installieren.
Du kannst alles direkt im Webinterface konfigurieren und installierst dir dann eine VPN App zum verbinden.
 
Danke für eure Tipps.
VPN über die Fritzbox wäre dann eventuell auch eine Alternative.
Die optimale Lösung wäre für micht möglichst sicher und auf Clientseite möglichst einfach und praktikabel.

Meine Tests sind fortgeschritten.

Auf die DS komme ich per L2TP/IPSec PSK problemlos mit meinem Android Smartphone, mit nem Windows 8 Rechner klappt es momentan noch nicht, das kann ich erst morgen nochmal testen.

Die Verbindung zum Fritzbox VPN klappt per Android testweise nicht. Ich habe allerdings nicht die neueste Fritz!OS Version installiert, das möchte ich erst nachholen, bevor ich da weitermache.
 
Ich komme nach wie vor, per Windows Client nicht auf die DS.
Mit nem Android Smartphone geht es problemlos, die Portfreigabe scheint also zu gehen.

Der Verbindungsfehler ist 809.

EDIT: FritzOS ist jetzt aktuell.
 
Geograph schrieb:
OpenVPN soll zwar sicher und performant sein, aber mir missfällt, dass man einen extra Client installieren muss und dieser auch noch mit Adminrechten laufen muss. (Für mich persönlich noch machbar, aber für Kunden/Anwender kompliziert.)
Zum Vergrößern anklicken....
JEDER VPN Client/Service muss mit Adminrechten laufen resp diese anfordern können, sonst könnte er die nötigen Systemrouten nicht setzen. Ziemlich egal welcher Client/Service genau ;)
Was mir persönlich sehr gefällt bei OpenVPN ist einerseits, dass es OpenSource ist und dass es sich anderseits sehr gut "härten" lässt --> https://community.openvpn.net/openvpn/wiki/Hardening
 
Andy14 schrieb:
Eine Anleitung hast du wahrscheinlich schon?
http://www.vpntutorials.com/tutorials/l2tp-ipsec-vpn-etup-tutorial-for-windows-8/
bei Error 809 trifft man entweder auf die Windows Firewall oder dies hier, allerdings nicht bei Win 8!?
https://support.microsoft.com/de-de/kb/926179
Zum Vergrößern anklicken....

Den Registry-Wert habe ich schon gesetzt.
Ich kann sowohl von Windows 7, als auch 8 nicht verbinden und erhalte den Error 809.
Mein Android Smartphone aus dem selben (W-)LAN funktioniert problemlos.

Die Anleitung schau' ich mir nochmal genau an, die sieht aber nach den selben Einstellungen aus, die ich verwendet habe.

jahlives schrieb:
JEDER VPN Client/Service muss mit Adminrechten laufen resp diese anfordern können, sonst könnte er die nötigen Systemrouten nicht setzen. Ziemlich egal welcher Client/Service genau ;)
Zum Vergrößern anklicken....

Das ist - wie soll ich sagen - ärgerlich.
Was mich von zusätzlicher Software abhält, sind die großen Fragezeichen, die dann daraus wieder resultieren, wie die schon spontan im Testsetup festgestellte Unverträglichkeit zwischen OpenVPN und der Fritzsoftware (siehe z. B. hier http://www.ip-phone-forum.de/showthread.php?t=274164 ).
Sicher, es gibt für alles Workarounds, aber das macht einfach unglaublich viel Arbeit und damit Kosten.
 
wieso brauchst du die Fritzbox Fernwartungssoftware? Über VPN befindest du dich doch im lokalen Netz und kannst du Fritte via LAN IP erreichen/verwalten
 
jahlives schrieb:
wieso brauchst du die Fritzbox Fernwartungssoftware? Über VPN befindest du dich doch im lokalen Netz und kannst du Fritte via LAN IP erreichen/verwalten
Zum Vergrößern anklicken....

Ich brauche sie nicht und ich will sie auch nicht haben. Es gab einen alternativen Lösungsansatz, VPN statt über die DS, über die FritzBox laufen zu lassen.
Und in dem Zusammenhang ist dann die OpenVPN Software und die Fritzsoftware auf einem PC gelandet.
 
Es funktioniert! Ich habe die Einstellungen von Andy14s Link verwendet.
Danke für alle Beiträge.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten